Cloudflare ERR_SSL_VERSION_OR_CIPHER_MISMATCH with GCP

Cloudflare ERR_SSL_VERSION_OR_CIPHER_MISMATCH with GCP

Background

Client -> Cloudflare -> GCP LB -> Backend

To achieve this flow for traffic proxying and security, I encountered an unexpected issue during the setup process

Symptoms

After configuring Cloudflare to set the DNS as Proxy, I started encountering the error (ERR_SSL_VERSION_OR_CIPHER_MISMATCH) when trying to access the website

Root Cause: Compatibility of Cloudflare with Multi-Level Subdomains

I discovered that the core issue lies in Cloudflare’s Universal SSL certificate. Cloudflare’s Universal SSL only supports single-level subdomains (e.g., *.example.com) and does not support multi-level subdomains (such as *.subdomain.example.com or sub.subdomain.example.com).

This means that even though the connection between the Load Balancer and Cloudflare is encrypted, Cloudflare still cannot provide a valid SSL connection when I access multi-level subdomains, resulting in a handshake failure error.

Solution

In my case, I reviewed all DNS records and converted multi-level subdomains to single-level subdomains. By converting multi-level subdomains to single-level, Cloudflare’s Universal SSL certificate could function correctly.

問題背景

Client -> Cloudflare -> GCP LB -> Backend

為了實現以上情境來處理流量的代理和安全性。我在設置過程中卻遇到了一個意料之外的問題


問題症狀

當我在 Cloudflare 設定完將 DNS 轉成 Proxy 後,訪問網站時反而遇到 (ERR_SSL_VERSION_OR_CIPHER_MISMATCH)


問題根源:Cloudflare 與多層子域名的兼容性

最終,我發現問題的核心在於 Cloudflare 的 Universal SSL 憑證。Cloudflare 的 Universal SSL 憑證僅支援單層子域(例如 *.example.com),但不支援多層子域(如 *.subdomain.example.comsub.subdomain.example.com)。

這意味著,即使 Load Balancer 和 Cloudflare 之間的連線已經加密,當我訪問多層子域名時,Cloudflare 仍無法提供有效的 SSL 連線,導致握手失敗的錯誤。


解決方法

依照我的案例,我檢查了所有 DNS List 並且將多層子玉轉乘 DNS

  1. 將多層子域轉換為單層子域
    將多層子域轉換為單層子域,這樣 Cloudflare 的 Universal SSL 憑證也可以正常運作。

參考網站:

ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Cloudflare SSL/TLS docs
Learn how to troubleshoot ERR_SSL_VERSION_OR_CIPHER_MISMATCH when using Cloudflare SSL/TLS.

圖片來源:https://www.cloudflare.com/integrations/google-cloud/

Read more

Cloudflare WAF 心得

最近看一篇文章,作者說明他們因為 GCS 一直被reqeust 而導致的大量費用,就先讓我想到我的 GCP LB 一直都未有很好的保護措施,我開始意識這一個風險。為了避免這種情況,因此今天我來分享一下我的使用經驗。 1. Web Application Firewall (WAF) 的功能 首先要提到的是 Cloudflare 提供的 WAF 功能。即便是免費版,也能夠設定最多 5 個自訂規則,這對於小型網站或服務來說已經相當充足。最吸引我的是 WAF 內建的「威脅分數」功能,可以根據訪客 IP 的信譽來評估潛在風險,將威脅分數從 0(低風險)到 100(高風險)進行分類,這樣可以有效阻擋危險的 IP 地址。 根據 Cloudflare 的官方文檔,我們可以根據威脅分數設置防護規則,

By Tim Chiang